هشدار مركز افتا؛ نهادهای دولتی مستقر در خاورمیانه هدف حمله بدافزاری
سئو مئو: یك گروه بدافزاری در حال انجام حملات مداوم سایبری با استفاده از ابزارها و تكنیك های شناخته شده ضد نهادهای دولتی در منطقه خاورمیانه است.
به گزارش سئو مئو به نقل از مركز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری، گروه OilRig همچنان در حال انجام حملات مداوم با استفاده از ابزارها و تكنیك های شناخته شده ضد نهادهای دولتی در منقطه خاورمیانه است. در این حملات از ایمیل های فیشینگ استفاده شده و قربانی با روش های مهندسی اجتماعی، وادار به اجرای یك پیوست مخرب می گردد. در پیوست ها هم از تروجان OopsIE كه در فوریه ۲۰۱۸ شناسایی شده، استفاده شده است. در حملات گروه OilRig، قابلیت های OopsIE مشابه نسخه های قبلی این تروجان است، اما برخی قابلیت های مقابله با تحلیل و شناسایی ماشین مجازی در آن بكار گرفته شده است تا سیستم های دفاعی خودكار دور زده شوند. پژوهشگران Palo Alto Networks، در جولای ۲۰۱۸ موجی از حملات گروه OilRig را گزارش كردند كه با كمك ابزاری به نام QUADAGENT، یك آژانس دولتی مستقر در خاورمیانه را مورد هدف قرار گرفته بود. در این حملات ایمیل های فیشینگی از آدرس های به سرقت رفته از سازمان مورد هدف مشاهده شد كه به جای QUADAGENT، تروجان OopsIE بعنوان بدنه در آنها منتقل شده است. مبحث ایمیل ها با زبان عربی نوشته شده كه حاصل ترجمه آن عبارت «آموزش مدیریت مداوم كسب وكار» است. با عنایت به بررسی های انجام شده، گروه های مورد هدف شامل افرادی هستند كه اسناد و مقالاتی را بصورت عمومی در مبحث مدیریت مداوم كسب وكار منتشر نموده اند. تروجان OopsIE حملات خویش را با اجرای چندین عملگر ضدتحلیل و سندباكس آغاز می كند. تروجان عملگرهای بررسی فن پردازنده، بررسی دما، بررسی نشانه گر موس، بررسی دیسك سخت، بررسی مادربورد، بررسی Sandboxie DLL، بررسی VBox DLL، بررسی VMware DLL، بررسی منطقه زمانی (كه اطمینان حاصل شود منطقه زمانی قربانی در مناطق خاورمیانه (UTC+۲)، عربی (UTC+۳)، ایران (UTC+۳، ۵) و غیره باشد و بررسی تعامل انسان را اجرا می كند. در صورتیكه بررسی ها مطابق پارامترهای تعیین شده در بدافزار نباشد، تروجان بدون انجام فعالیتی خارج می گردد. تروجان OopsIE منتقل شده در این حملات دارای قابلیت های مشابه نسخه قبلی این بدافزار است. تشابه اصلی استفاده از فعالیت های زمان بندی شده برای اجرای دستورات به صورت پایدار در سیستم است. همینطور فرایند كلی ارتباط با سرور C&C هم مشابه نسخه قبلی است. علاوه بر این، مشابه نسخه قبلی، تروجان استفاده شده در این حمله هم از اشیا مرورگر اینترنت اكسپلورر برای دریافت دستورها استفاده می نماید. با این وجود، چندین تفاوت هم بین این نسخه و نسخه قبلی مشاهده می گردد. در نگاه اول، در این نسخه تعداد زیادی از رشته ها مبهم سازی شده اند. مورد دیگر، تكنیك های مقابله با محیط های تحلیل است. برخی تفاوت های جزئی هم در كد نسخه جدید مشاهده شده است. یك تفاوت بارز در مقایسه با نسخه قبلی، نحوه نمایش آدرس سرور C&C است كه در این نسخه آدرس سرورها یا پارامترهای موجود در آنها معكوس شده اند، به دین صورت كه chk به khc، what به tahw و resp به pser تبدیل گشته است. در نهایت باید اشاره نمود كه گروه OilRig همچنان یك تهدید فعال در منطقه خاورمیانه است. این گروه در تلاش است تا در عین حال كه از تكنیك های مشابه و تكراری استفاده می نماید، ابزارهای خویش را توسعه دهد و به آنها قابلیت های بیشتری را اضافه كند. در این موج حمله هم آن ها قابلیت های ضدتحلیل را به بدافزار خود اضافه كردند. با این وجود تاكتیك های استفاده شده توسط آنها به صورت كلی پیشرفته نیست و سازمان ها با پیاده سازی رویكردهای ساده امنیتی می توانند خویش را در برابر این تهدید محافظت كنند.